ProHoster > بیش از 500 افزونه مخرب از فروشگاه وب Chrome حذف شد

بیش از 500 افزونه مخرب از فروشگاه وب Chrome حذف شد

نتایج خلاصه شده است مسدود کردن یک سری افزونه های مخرب در مرورگر کروم که چندین میلیون کاربر را تحت تأثیر قرار داد. در مرحله اول، محقق مستقل جمیلا کایا (جمیلا کایا) و Duo Security 71 افزونه مخرب را در فروشگاه وب Chrome شناسایی کرده اند. در مجموع، این افزونه ها بیش از 1.7 میلیون نصب داشتند. پس از اطلاع رسانی به گوگل در مورد مشکل، بیش از 430 افزونه مشابه در کاتالوگ یافت شد که تعداد نصب آنها گزارش نشد.

قابل ذکر است، علیرغم تعداد قابل توجه نصب، هیچ یک از افزونه های مشکل ساز نظرات کاربران را ندارند، و این سؤالاتی را در مورد نحوه نصب افزونه ها و اینکه چگونه فعالیت های مخرب شناسایی نشده است، ایجاد می کند. اکنون همه افزونه‌های مشکل‌ساز از فروشگاه وب Chrome حذف شده‌اند.
به گفته محققان، فعالیت های مخرب مربوط به افزونه های مسدود شده از ژانویه 2019 ادامه داشته است، اما دامنه های فردی که برای انجام اقدامات مخرب استفاده می شوند در سال 2017 ثبت شده اند.

در بیشتر موارد، افزونه های مخرب به عنوان ابزاری برای تبلیغ محصولات و شرکت در خدمات تبلیغاتی ارائه می شدند (کاربر تبلیغات را مشاهده می کند و حق امتیاز دریافت می کند). افزونه ها هنگام باز کردن صفحات از تکنیک تغییر مسیر به سایت های تبلیغاتی استفاده می کردند که قبل از نمایش سایت درخواستی به صورت زنجیره ای نشان داده می شدند.

همه افزونه‌ها از یک تکنیک برای پنهان کردن فعالیت‌های مخرب و دور زدن مکانیسم‌های تأیید افزودنی در فروشگاه وب Chrome استفاده می‌کردند. کد همه افزونه ها در سطح منبع تقریباً یکسان بود، به استثنای نام توابع، که در هر افزونه منحصر به فرد بودند. منطق مخرب از سرورهای کنترل متمرکز منتقل شد. در ابتدا، این افزونه به دامنه‌ای متصل شد که نام آن با نام افزونه یکسان بود (به عنوان مثال Mapstrek.com)، پس از آن به یکی از سرورهای کنترل هدایت شد که اسکریپتی برای اقدامات بعدی

برخی از اقداماتی که از طریق افزونه‌ها انجام می‌شود شامل آپلود اطلاعات محرمانه کاربر در سرور خارجی، ارسال به سایت‌های مخرب و افراط در نصب برنامه‌های مخرب (مثلاً پیامی مبنی بر آلوده بودن رایانه و ارائه بدافزار تحت عنوان نمایش داده می‌شود. ظاهر یک آنتی ویروس یا به روز رسانی مرورگر). دامنه‌هایی که به آن‌ها تغییر مسیر داده شد، شامل دامنه‌های فیشینگ و سایت‌های مختلف برای بهره‌برداری از مرورگرهای به‌روزرسانی نشده حاوی آسیب‌پذیری‌های اصلاح‌نشده است (به عنوان مثال، پس از بهره‌برداری، تلاش‌هایی برای نصب بدافزارهایی انجام شد که کلیدهای دسترسی را رهگیری می‌کرد و انتقال داده‌های محرمانه را از طریق کلیپ‌بورد تحلیل می‌کرد).

منبع: opennet.ru

اضافه کردن نظر